sergiolopfer84/DFIR-Labs-Portfolio

# 🔍 DFIR Labs 作品集 – Sergio López Fernández 本仓库记录了我在网络安全专业学习和动手开发过程中执行的**结构化数字取证与事件响应（DFIR）调查**。 重点在于**基于主机的取证、内存分析以及网络流量调查**，与 SOC 分析师和初级 DFIR 岗位相 aligned。 ## 👤 关于本作品集 与理论总结不同，这些实验强调： - 直接取证镜像分析（E01、raw） - NTFS 内部结构检查 - MFT 级调查 - Windows 工件重建 - 浏览器活动重建 - PCAP 流量分析 - MAC 与网络归属分析 - 只读环境中的证据处理 - 结构化的调查报告 目标是展示实际的调查能力，而不仅仅是对工具的熟悉。 ## 🎯 职业目标 发展与以下方向一致的实际技术能力： - SOC 分析师 Level 1 - 事件响应分析师（初级） - 威胁检测与主机调查岗位 核心关注领域： - 终端取证分析 - 事件调查方法论 - 工件重建 - 注册表与元数据分析 - 网络流量分析 - 日志关联 - 证据处理与报告 - 文件系统级调查 ## 🛠 技术栈 ### 磁盘与文件系统分析 - Sleuth Kit（mmls、fsstat、fls、istat、blkcat） - FTK Imager - Autopsy - CAINE - Guymager ### Windows 工件分析 - RegRipper - Eric Zimmerman Tools - NirSoft Utilities - Windows 事件查看器 ### 内存与易失性数据 - Volatility 3 - Belkasoft RAM Capturer - RAMCapturer - LiME ### 网络与日志分析 - Wireshark - Splunk ## 📂 实验结构 ### 01 – 磁盘取证 - FAT16 分区分析 - MBR 提取与哈希校验 - NTFS MFT 元数据分析 - 时间线重建 - PhotoRec 文件 carving ### 02 – Windows 工件分析 - ShellBags 分析 - USB 设备取证 - Prefetch 调查 - 浏览器工件重建 ### 03 – Windows 注册表取证 - Windows SAM Hive 分析（手动） - 使用 RegRipper 进行自动多 Hive 分析 ### 04 – NTFS 深度分析（Sleuth Kit） - 分区识别（mmls） - 文件系统结构验证（fsstat） - 文件枚举（fls） - MFT 元数据检查（istat） - 原始块提取（blkcat） ### 05 – Web 活动重建 - Chrome 历史分析 - 多浏览器工件关联 - 时间线重建 ### 06 – 网络流量调查 - HTTP 会话分析 - 通过 Host Header 识别域名 - 内部/外部 IP 归属 - MAC 供应商识别 - PCAP 调查流程 ## 🔬 调查方法论 每个实验遵循结构化的取证流程： 1. 证据完整性验证 2. 工件识别 3. 技术提取 4. 跨层关联 5. 分析解释 6. 可疑活动评估 7. 结构化报告 ## 📈 职业路线图对齐 本作品集支持向以下方向发展： - SOC 分析师 L1 岗位 - Microsoft SC-200 - CompTIA Security+ - 高级 DFIR 专业化 重点在于在积累认证之前，先建立实际的调查能力。 ## ⚠️ 免责声明 不包含任何敏感或专有数据。 所有内容均来自受控实验室或模拟环境。

标签：AMSI绕过, Autopsy, DNS 反向解析, DNS 解析, E01, FTK Imager, HTTPS请求, HTTP工具, JARM, MFT, NTFS, Sleuth Kit, SOC分析, Windows取证, Wireshark, 主机取证, 内存分析, 取证实验室, 取证工具, 取证报告, 取证调查, 取证镜像, 句柄查看, 后端开发, 威胁检测, 子域名变形, 数字取证, 文件恢复, 日志关联, 流量嗅探, 磁盘分析, 网络安全审计, 网络流量分析, 自动化脚本, 证据保全